Dati sensibili e giudiziari: il Garante richiama la Pa agli adempimenti del nuovo Codice

di Andrea Maggipinto

di Andrea Maggipinto* Nella riunione del 30 giugno, il Garante per la protezione dei dati personali ha adottato un importante provvedimento, cui tutte le amministrazioni pubbliche sono chiamate a prestare particolare attenzione. Nell'approssimarsi della scadenza del termine stabilito con l'ultima proroga, il Garante esorta le PPAA a dare piena attuazione al codice privacy D.Lgs 196/03 . Entro il 31 dicembre 2005, infatti, dovrà essere adottato l'atto regolamentare stabilito dalla normativa de quo per il trattamento dei dati sensibili e giudiziari. Scaduto il termine, in assenza delle prescritte misure opportune e necessarie, ogni operazione avente ad oggetto questi dati dovrà essere interrotta, pena la diretta responsabilità dei soggetti pubblici titolari del trattamento. Gli elementi della questione. Il nuovo Codice privacy, dopo aver stabilito le regole generali comuni a tutte le operazioni di trattamento, prescrive in apposito capo del titolo 111 articoli 18 e ss. le regole dirette ai soli soggetti pubblici. Due in particolare gli articoli che rilevano nella questione affrontata dall'Autorità l'articolo 20 Principi applicabili al trattamento di dati sensibili , che dispone quanto richiamato e precisato nel provvedimento del Garante, e l'articolo 21 Principi applicabili al trattamento di dati giudiziari , che si limita a richiamare le disposizioni della norma precedente. Questo il principio generale della disciplina il trattamento di dati sensibili e giudiziari è consentito esclusivamente quando sia autorizzato ex lege ovvero, per i soli dati giudiziari, anche da provvedimento del Garante tale autorizzazione deve specificare le categorie di dati che possono essere trattate e la tipologia di operazioni eseguibili, nonché le finalità di rilevante interesse pubblico perseguite articolo 20, comma 1 e articolo 21, comma 1 del Codice . Nella pratica, tuttavia, è decisamente più diffusa l'ipotesi per così dire sussidiaria prevista dal comma 2 dell'articolo 20 qualora una disposizione di legge stabilisca esclusivamente la finalità di interesse pubblico sottesa al trattamento di dati sensibili o giudiziari , quest'ultimo è consentito solo con riferimento ai tipi di dati e di operazioni identificati e resi pubblici con atto di natura regolamentare, adottato dagli stessi soggetti pubblici in conformità al parere che il Garante è chiamato ad esprimere. La ratio della disposizione - oltre a quella di garantire una reale attuazione dei principi di cui all'articolo 117 Costituzione e di responsabilizzare la P.A. - coincide da un lato con il principio stesso di trasparenza dell'azione amministrativa e dall'altro con l'attuazione dei principi stabiliti a tutela dei dati personali finalità, necessità, ecc. . La situazione attuale. Dall'entrata in vigore della legge 675/96 e, successivamente, da quella del nuovo Codice, i soggetti pubblici si sono avvalsi di un periodo transitorio piuttosto lungo, nonchè di alcune proroghe stabilite dall'Autorità per agevolare il riordino delle Pubbliche Amministrazioni, chiamate in verità a gestire una notevole mole dì dati tale da determinare inevitabilmente difficoltà tecniche ed organizzative. Il provvedimento del Garante. In applicazione della disposizione di cui all'articolo 154 comma 1 lett c del codice, il Garante ha voluto prescrivere ai titolari del trattamento le PP.AA. misure idonee ed opportune al fine di rendere le operazioni sui dati sensibili e giudiziari conforme alle disposizioni vigenti. Questo richiamo si è reso necessario perché - ha constatato l'Autorità - numerose PP.AA. non hanno ancora dato piena attuazione alle disposizioni del codice introducendo le dovute garanzie. 1 soggetti pubblici, dunque, sono chiamati ad adottare l'atto di natura regolamentare previsto dall'articolo sopra citato, talchè siano rese trasparenti ai cittadini le informazioni raccolte e le modalità di trattamento. Questa, infatti, la finalità dell'atto regolamentare che, precisa il Garante, deve avere natura di fonte normativa suscettibile di incidere su diritti e libertà fondamentali di terzi cfr., tra gli altri, Garante 17 gennaio 2002, in Bollettino n. 24, p.40 . Quanto alla procedura da seguire, le PP.AA. devono operare preliminarmente una valutazione circa il trattamento di dati sensibili e giudiziari già in corso e quello che hanno intenzione di iniziare in futuro, con riferimento alle finalità di interesse pubblico determinate dal Codice o da altre previsioni normative primarie. Successivamente, devono predisporre uno schema di regolamento e sottoporlo all'esame dell'Autorità garante per il necessario parere che ha di fatto funzione autorizzatoria al trattamento, a garanzia dei principi sanciti dall'articolo 22 del Codice . In alternativa, i titolari dei trattamento possono avvalersi di schemi-tipo elaborati per insiemi omogenei di amministrazioni e per i quali è rilasciato un unico parere. Questa ipotesi è chiaramente configurabile solo qualora il predetto schema risponda alle reali esigenze e al reale trattamento di dati della singola amministrazione. *Giurista specializzato in ICT law

Autorità Garante per la protezione dei dati personali Provvedimento del 30 giugno 2005 Dati sensibili il ritardo della PA. Le prescrizioni del Garante Premesso 1. Considerazioni introduttive Il Codice entrato in vigore il 1 gennaio 2004 ha riunito in modo organico la normativa di tutela relativa al trattamento dei dati personali ha offerto all'intera amministrazione pubblica un'occasione significativa per portare a compimento il processo di modernizzazione, in modo da adeguare il proprio assetto organizzativo e funzionale dando idonee risposte alle istanze dei cittadini rivolte al massimo rispetto dei diritti e delle libertà fondamentali. In questo quadro, il Garante rileva, però, con rammarico che numerose amministrazioni pubbliche non hanno dato piena attuazione al Codice. In particolare, questa Autorità segnala che non sono state ancora introdotte le garanzie previste in ordine al trattamento di alcune informazioni che riguardano profili particolarmente delicati della sfera privata delle persone, ovvero dei cd. dati sensibili . La vicenda incide in termini rilevanti sulla sfera dei diritti dei cittadini. L'utilizzo di queste informazioni concernenti la salute, la vita sessuale, la sfera religiosa, politico-sindacale o filosofica, nonché l'origine razziale ed etnica è inoltre soggetto a rigorose cautele anche in base alla disciplina comunitaria, la quale vieta il loro trattamento a meno che ricorrano specifici motivi di interesse pubblico rilevante e siano altresì assicurate opportune garanzie articolo 8 direttiva cit. . Analoghe cautele sono previste per i dati di carattere giudiziario. L'inerzia delle pubbliche amministrazioni lede, quindi, non solo il diritto dei cittadini alla protezione dei dati personali, ma comporta anche una violazione del diritto comunitario. Il ritardo accumulato su questo piano è eccessivo. Sin dal 1997, vigente la legge 675/96, ed anche dopo l'approvazione del Codice nel 2003, i soggetti pubblici hanno infatti potuto avvalersi di un lungo periodo transitorio e di diverse proroghe. L'eventuale protrarsi dell'inerzia delle amministrazioni anche dopo il 31 dicembre 2005 data di scadenza dell'ultima proroga risulterebbe del tutto ingiustificata. L'Autorità esprime viva preoccupazione in relazione al rispetto del termine di legge del 31 dicembre prossimo. Se non interverranno per tale data i necessari atti di natura regolamentare il trattamento dei dati sensibili e giudiziari dovrà essere infatti interrotto a decorrere dal 1 gennaio prossimo. La prosecuzione del trattamento di dati sensibili e giudiziari dopo tale data concretizzerebbe un illecito, con conseguenti responsabilità di diverso ordine, anche contabile e per danno erariale potrebbe inoltre comportare l'inutilizzabilità dei dati trattati indebitamente, nonché il possibile intervento di provvedimenti anche giudiziari di blocco o di divieto del trattamento articolo 154 del Codice articolo 3 Dl 158/04, come modificato dalla legge 188/04 articolo 11, commi 1, lett. a e 2, del Codice . Nel quadro della tematica in esame, le amministrazioni pubbliche hanno l'obbligo -accanto ad altri doveri in materiadi rendere trasparenti ai cittadini quali informazioni vengono raccolte tra quelle particolarmente delicate cui si è fatto riferimento devono altresì chiarire come utilizzano queste informazioni per le finalità di rilevante interesse pubblico individuate con legge. Tali indicazioni vanno trasfuse in un atto regolamentare cui va data ampia pubblicità articoli 4, comma 1, lett. d ed e , 20, comma 2 e 21, comma 2, del Codice . Non si tratta di un mero adempimento formale, oppure di una semplice ricognizione di prassi esistenti, poiché da tali regolamenti discenderanno effetti sostanziali per i cittadini interessati. Gli schemi dei regolamenti devono essere sottoposti al Garante per l'espressione del parere, cui i soggetti pubblici devono poi conformarsi. Considerata l'ampiezza del settore, il Codice prevede anche la possibilità che siano redatti schemi tipo per insiemi omogenei di amministrazioni, sui quali può essere pertanto espresso un unico parere. Per contribuire alla corretta applicazione del Codice, il Garante ha intensificato la collaborazione finalizzata alla predisposizione di tali schemi tipo con organismi rappresentativi di regioni, autonomie locali ed università, nonché, in riferimento alle rispettive funzioni istituzionali, con la Presidenza del Consiglio dei ministri e il Dipartimento della funzione pubblica. Il Garante resta però in attesa di ricevere per il parere sia gli schemi tipo eventualmente proposti, sia gli schemi di regolamento predisposti da singole amministrazioni. 2. Aspetti procedurali Diversi documenti del Garante e più di una circolare evidenziano da tempo la problematica e la circostanza, ribadita dal Codice, che le amministrazioni non possono avvalersi, nel caso di specie, di meri atti che, anche se denominati regolamenti, non hanno, anche per la loro eventuale rilevanza solo interna, la necessaria natura di fonte normativa suscettibile di incidere su diritti e libertà fondamentali di terzi Provvedimento Garante del 17 gennaio 2002, in Boll. n. 24, p. 40 e 16 giugno 1999, in Boll. n. 9, p. 19 note del Garante rivolte alla Presidenza del Consiglio dei ministri il 10 settembre 1999, il 10 novembre 2000 e il 3 maggio 2001, in Boll. n. 9, p. 31, n. 14-15, p. 26 e n. 20, p. 36 . Spetta ai soggetti pubblici che trattano i dati adottare l'atto di natura regolamentare, o avvalendosi dei poteri ad essi riconosciuti dall'ordinamento di riferimento, oppure promuovendo l'adozione di un regolamento da parte della competente amministrazione di riferimento la quale eserciti, ad esempio, poteri di indirizzo e controllo es. articoli 4 e 14 D.Lgs 165/01 e, a titolo esemplificativo, articoli 8 e ss. D.Lgs 300/99 e 9 D.Lgs 419/99 . Gli atti di natura regolamentare da adottare devono essere predisposti previa ricognizione attenta dei trattamenti di dati sensibili e giudiziari in fase di attuale trattamento o che si intende trattare in futuro. Occorre poi tenere presente che potranno essere prese in considerazione nei regolamenti le sole finalità di rilevante interesse pubblico già individuate specificamente dal Codice o, come quest'ultimo prevede, da un'espressa previsione di legge che, anche se collocata fuori del Codice, le evidenzi comunque puntualmente nei termini richiesti articolo 20 e Parte II del Codice . La ricognizione, che presuppone il necessario coinvolgimento delle articolazioni interne del soggetto pubblico interessato, permette a quest'ultimo di effettuare anche un'ulteriore verifica circa la rispondenza dei trattamenti in corso con i principi del Codice oggi già direttamente applicabili e ovviamente da rispettare anche in sede regolamentare , nonché di adeguare prontamente procedure in atto eventualmente non conformi a legge principio di indispensabilità in rapporto alle finalità perseguite verifiche periodiche dei vari requisiti dei dati -esattezza, aggiornamento, pertinenza, completezza, ecc.- e del loro rapporto con gli adempimenti da svolgere scelta di modalità volte a prevenire violazioni di diritti e libertà fondamentali raccolta dei dati sensibili e giudiziari di regola presso gli interessati particolari cautele rispetto a dati riferiti a terzi non direttamente interessati ai compiti o adempimenti da svolgere divieto di diffusione di dati sulla salute ecc. cfr.articolo 22 del Codice . 3. Il parere del Garante Gli atti di natura regolamentare devono essere adottati, in ogni caso, in conformità al parere del Garante. Come accennato, il parere può essere espresso anche su schemi tipo, il che contribuisce a rendere più organiche le garanzie in riferimento ad altre amministrazioni e semplifica, inoltre, l'iter di approvazione degli atti. Infatti, una volta espresso dal Garante il parere su uno schema tipo riguardante l'attività di soggetti pubblici che svolgono attività omogenee, lo schema di ciascun regolamento non deve essere sottoposto singolarmente a questa Autorità, sempreché il trattamento ipotizzato sia attinente e conforme allo schema tipo esaminato. É invece necessario sottoporre al Garante uno schema di regolamento per uno specifico parere solo se a manca uno schema tipo già esaminato dall'Autorità b vi è uno schema tipo al quale l'amministrazione deve apportare modifiche sostanziali o integrazioni non formali che riguardano a causa di ulteriori categorie di dati o di altre rilevanti operazioni di trattamento casi in esso non considerati nello schema tipo. Anche in questi due casi, il Garante è impegnato ad esprimere il parere nel termine di 45 gg. dal ricevimento della richiesta o nei 20 gg. dal ricevimento degli elementi istruttori ricevuti dalle amministrazioni interessate , decorsi i quali, se non interviene un parere formale, il soggetto può adottare comunque il regolamento e proseguire poi il trattamento articolo 154, comma 5, del Codice . 4. Contenuto dell'atto regolamentare e pubblicità In questa sede, Il Garante intende fornire alle amministrazioni che non potranno avvalersi di schemi tipo alcune prescrizioni di carattere generale per contribuire all'adozione di adeguate bozze di regolamento più attente ai profili sostanziali di tutela, più comprensibili da parte dei cittadini e non basate su approcci meramente formali alla tematica. Questa particolare attenzione è ancor più necessaria se si tiene conto che, dal 1 gennaio 2006 non sarà lecito alcun trattamento dei dati sensibili e giudiziari che non sia disciplinato espressamente nei regolamenti. Lo schema di regolamento deve contenere sinteticamente, ma in termini adeguati ed agevolmente comprensibili, le seguenti indicazioni specificate per categorie. Dati indispensabili Occorre individuare le tipologie di informazioni sensibili e giudiziarie che si devono necessariamente utilizzare in rapporto alle attività istituzionali svolte, avendo cura che a ciascun adempimento corrisponda il trattamento delle sole informazioni per ciò strettamente indispensabili articolo 22, comma 3, del Codice . I dati vanno indicati solo per tipologie, evitando elencazioni eccessivamente sommarie. Operazioni di trattamento indispensabili Vanno parimenti individuate le operazioni che si devono necessariamente svolgere per perseguire le finalità di rilevante interesse pubblico puntualmente individuate per legge, mettendo in particolare evidenza le operazioni che possono spiegare effetti maggiormente significativi per l'interessato e per le quali sono pertanto necessarie più garanzie. Anche in questo caso la descrizione è per tipologie, evitando indicazioni del tutto generiche circa l'impiego delle informazioni. Tra tali operazioni rientrano, in particolare, quelle svolte pressoché interamente mediante siti web,o volte a definire in forma completamente automatizzata profili o personalità di interessati, le interconnessioni e i raffronti tra banche di dati gestite da diversi titolari, oppure con altre informazioni sensibili e giudiziarie detenute dal medesimo titolare del trattamento articolo 22, comma 9, 10 e 11, del Codice , nonché la comunicazione dei dati a terzi. Si possono invece indicare più sinteticamente le operazioni ordinarie e più ricorrenti di trattamento raccolta, registrazione, organizzazione, conservazione, elaborazione, modificazione ecc. . Ulteriore contenuto dello schema di regolamento È opportuno che il soggetto pubblico descriva sinteticamente, in termini comunicativi, anche la complessiva attività svolta, con particolare riguardo agli aspetti più incisivi per i diritti dei cittadini. Non è quindi necessario scendere in eccessivi livelli di dettaglio non richiesti dal Codice né è richiesta la riproduzione analitica delle disposizioni del Codice in particolare, degli articoli 3, 11, 18-22, 85 s. e 95 s . Andrebbe altresì evitato di disciplinare situazioni già adeguatamente regolate sul piano legislativo e regolamentare quanto ai tipi di dati e di operazioni, come avviene nel caso dei dati personali trattati per effetto di un accesso a documenti amministrativi articoli 59 e 60 del Codice legge 241/90 e successive modificazioni ed integrazioni . Va inoltre rilevato in questa sede che la normativa sugli obblighi e compiti che rendono indispensabile utilizzare dati sensibili e giudiziari deve essere oggetto di un espresso riferimento nell'informativa da rendere agli interessati articolo 22, comma 2, del Codice . L'indicazione di tale normativa può essere quindi utile anche nell'ambito dello schema tipo, contribuendo ad evitare che il regolamento prenda erroneamente in considerazione attività che, pur essendo demandate al soggetto pubblico, non rientrano tra quelle che una fonte primaria non ha ritenuto di importanza tale da legittimare il trattamento di dati sensibili e giudiziari, in quanto non considerate rilevanti finalità di interesse pubblico . Da ultimo, tra le garanzie individuate dal Codice figura il diritto dei cittadini di conoscere con quali modalità sono utilizzate le predette informazioni che lo riguardano articolo 20, comma 2, del Codice . Va pertanto prescritto ai soggetti pubblici interessati di intraprendere, in aggiunta alla pubblicità legale da assicurare agli atti regolamentari secondo i singoli ordinamenti, adeguate iniziative per assicurare idonea conoscibilità alle scelte adottate a proposito dei dati sensibili e giudiziari, utilizzando non solo i siti web istituzionali, ma anche le iniziative di comunicazione istituzionale cui essi sono tenuti. Riservandosi di concludere rapidamente in separata sede i processi di collaborazione già avviati con alcuni organismi rappresentativi di soggetti pubblici, il Garante ritiene infine doveroso prescrivere in questa sede a tutti i soggetti pubblici interessati di adottare le predette misure, necessarie o, a seconda dei casi, opportune. A tal fine, il Garante pone anche a disposizione dei soggetti pubblici, in allegato al presente provvedimento, un modello di riferimento per redigere gli schemi. Questo modello aggiorna quello già predisposto dal Garante il 17 gennaio 2002. Tutto ciò premesso il garante a ai sensi dell'articolo 154, comma 1, lett. c , del Codice, prescrive ai titolari di trattamenti di dati personali oggetto del presente provvedimento di adottare le misure necessarie ed opportune ivi indicate al fine di rendere i trattamenti medesimi conformi alle disposizioni vigenti b dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale, ai sensi dell'articolo 143, comma 2, del Codice. Allegato Articolo 1. Il presente regolamento, in attuazione del Codice in materia di protezione dei dati personali articoli 20, comma 2, e 21, comma 2, del decreto legislativo 30 giugno 2003, n. 196 , identifica le tipologie di dati sensibili e di operazioni indispensabili a per perseguire le finalità di rilevante interesse pubblico espressamente individuate da apposita previsione di legge. Articolo 1. Ai sensi dell'articolo 1, , per le finalità di tratta le seguenti tipologie di dati sensibili e giudiziari mediante i tipi di operazioni di seguito indicati. Indicazione del trattamento e descrizione riassuntiva del contesto Indicare sinteticamente il contesto in cui il trattamento è effettuato es. gestione del rapporto di lavoro del personale , descrivendo anche, con linguaggio chiaro e comunicativo, le caratteristiche principali del trattamento e del flusso informativo. Finalità di rilevante interesse pubblico perseguite Indicare le finalità di rilevante interesse pubblico specificamente indicate dal Codice o da una norma di legge e il relativo riferimento normativo es., instaurare e gestire il rapporto di lavoro di qualunque tipo con il personale dipendente, anche a tempo parziale o temporaneo, nonché altre forme di lavoro non subordinato . Fonte normativa Indicare, se possibile, le fonti normative sull'attività istituzionale cui il trattamento è collegato es. articoli 2094-2134 Cc legge 300/70 D.Lgs 165/01 D.Lgs 151/01 . tipi di dati trattati barrare le caselle corrispondenti origine ? razziale ? etnica convinzioni ? religiose ? filosofiche ? d'altro genere convinzioni ? politiche ? sindacali stato di salute ? patologie attuali ? patologie pregresse ? terapie in corso ? anamnesi familiare vita sessuale ? dati di carattere giudiziario articolo 4, comma1, lett. e , del Codice ? Operazioni eseguite barrare le caselle corrispondenti Particolari forme di trattamento Interconnessioni e raffronti di dati con altre informazioni o banche dati dello stesso soggetto pubblico specificare quali ed indicarne i motivi con altri soggetti pubblici o privati specificare quali ed indicare la base normativa Trattamento automatizzato volto a definire il profilo o la personalità dell'interessato ai fini dell'adozione di un provvedimento amministrativo o giudiziario specificare quali ed indicarne i motivi o la base normativa Comunicazione ai seguenti soggetti per le seguenti finalità indicare l'eventuale base normativa Diffusione specificare l'ambito ed indicare l'eventuale base normativa Altre operazioni indicare eventuali altre operazioni effettuate sui dati, diverse da quelle sopra indicate Altre tipologie più ricorrenti di trattamento Raccolta ? presso gli interessati ? presso terzi Elaborazione ? in forma cartacea ? con modalità informatizzate Altre operazioni indispensabili rispetto alla finalità del trattamento e diverse da quelle ordinarie quali la registrazione, la conservazione, la cancellazione o il blocco nei casi previsti dalla legge specificare